Überwachen der App-Verwendung mithilfe von AppLocker
In diesem Thema, das sich an IT-Experten richtet, wird beschrieben, wie die App-Verwendung überwacht wird, wenn AppLocker-Richtlinien angewendet sind.
Nachdem Sie die Regeln festgelegt und die AppLocker-Richtlinien bereitgestellt haben, empfiehlt es sich zu ermitteln, ob die Richtlinienimplementierung Ihren Erwartungen entspricht.
Untersuchen der Auswirkung einer AppLocker-Richtlinie
Sie können für Dokumentations- oder Überwachungszwecke oder vor dem Ändern der Richtlinie auswerten, wie die AppLocker-Richtlinie aktuell implementiert ist. Wenn Sie Ihr Planungsdokument für die AppLocker-Richtlinienbereitstellung aktualisieren, hilft dies Ihnen dabei, Ihre Ergebnisse nachzuverfolgen. Informationen über das Erstellen dieses Dokuments finden Sie unter Erstellen Ihres AppLocker-Planungsdokuments. Sie können einen oder mehrere der folgenden Schritte ausführen, um zu verstehen, welche Anwendungssteuerelemente aktuell durch die AppLocker-Regeln erzwungen sind.
Analysieren von AppLocker-Protokollen in der Ereignisanzeige
Wenn die AppLocker-Richtlinienerzwingung auf Regeln erzwingen festgelegt ist, werden die Regeln für die Regelsammlung erzwungen, und alle Ereignisse werden überwacht. Wenn die AppLocker-Richtlinienerzwingung auf Nur überwachen festgelegt ist, werden die Regeln nicht erzwungen. Sie werden jedoch weiterhin ausgewertet, um Überwachungsereignisdaten zu generieren, die in die AppLocker-Protokolle geschrieben werden.
Wie Sie auf das Protokoll zugreifen können, erfahren Sie unter Anzeigen des AppLocker-Protokolls in der Ereignisanzeige.
Aktivieren der AppLocker-Erzwingungseinstellung „Nur überwachen“
Mithilfe der Erzwingungseinstellung Nur überwachen können Sie sicherstellen, dass die AppLocker-Regeln für Ihre Organisation ordnungsgemäß konfiguriert sind. Wenn die AppLocker-Richtlinienerzwingung auf Nur überwachen festgelegt ist, werden die Regeln nur ausgewertet. Alle anhand dieser Auswertung generierten Ereignisse werden jedoch in das AppLocker-Protokoll geschrieben.
Die zugehörigen Schritte finden Sie unter Konfigurieren einer AppLocker-Richtlinie für reine Überwachungszwecke.
Überprüfen von AppLocker-Ereignissen mithilfe von „Get-AppLockerFileInformation“
Sowohl für Ereignisabonnements als auch für lokale Ereignisse können Sie das Windows PowerShell-Cmdlet Get-AppLockerFileInformation verwenden, um zu ermitteln, welche Dateien blockiert wurden bzw. (bei Verwendung des Erzwingungsmodus „Nur überwachen“) blockiert worden wären und wie häufig das Ereignis pro Datei auftrat.
Informationen hierzu finden Sie unter Überprüfen von AppLocker-Ereignissen mithilfe von „Get-AppLockerFileInformation“.
Überprüfen von AppLocker-Ereignissen mithilfe von „Test-AppLockerPolicy“
Sie können das Windows PowerShell-Cmdlet Test-AppLockerPolicy verwenden, um zu ermitteln, ob eine der Regeln in Ihrer Regelsammlung auf dem Referenzgerät oder dem Gerät zur Verwaltung von Richtlinien blockiert wird.
Die zugehörigen Schritte finden Sie unter Testen einer AppLocker-Richtlinie mithilfe von Test-AppLockerPolicy.
Überprüfen von AppLocker-Ereignissen mithilfe von „Get-AppLockerFileInformation“
Sowohl für Ereignisabonnements als auch für lokale Ereignisse können Sie das Windows PowerShell-Cmdlet Get-AppLockerFileInformation verwenden, um zu ermitteln, welche Dateien blockiert wurden bzw. (bei Verwendung der Erzwingungseinstellung Nur überwachen) blockiert worden wären und wie häufig das Ereignis pro Datei auftrat.
Grundvoraussetzung zur Ausführung dieses Vorgangs ist die Mitgliedschaft in der lokalen Gruppe Administratoren oder eine gleichwertige Mitgliedschaft.
Hinweis
Wenn sich die AppLocker-Protokolle nicht auf Ihrem lokalen Gerät befinden, benötigen Sie die Berechtigung, um die Protokolle anzuzeigen. Wenn die Ausgabe in einer Datei gespeichert wird, benötigen Sie die Berechtigung, um diese Datei anzuzeigen.
.gif "Mt431800.wedge(de-de,VS.85).gif")
So überprüfen Sie AppLocker-Ereignisse mithilfe von „Get-AppLockerFileInformation“
Geben Sie an der Eingabeaufforderung PowerShell ein, und drücken Sie dann die EINGABETASTE.
Führen Sie den folgenden Befehl aus, um zu überprüfen, wie oft die Ausführung einer Datei bei erzwungenen Regeln blockiert werden würde:
Get-AppLockerFileInformation –EventLog –EventType Audited –StatisticsFühren Sie den folgenden Befehl aus, um zu überprüfen, wie oft die Ausführung einer Datei zugelassen oder verhindert wurde:
Get-AppLockerFileInformation –EventLog –EventType Allowed –Statistics
Anzeigen des AppLocker-Protokolls in der Ereignisanzeige
Wenn die AppLocker-Richtlinienerzwingung auf Regeln erzwingen festgelegt ist, werden die Regeln für die Regelsammlung erzwungen, und alle Ereignisse werden überwacht. Wenn die AppLocker-Richtlinienerzwingung auf Nur überwachen festgelegt ist, werden die Regeln nur ausgewertet. Alle anhand dieser Auswertung generierten Ereignisse werden jedoch in das AppLocker-Protokoll geschrieben.
Grundvoraussetzung zur Ausführung dieses Vorgangs ist die Mitgliedschaft in der lokalen Gruppe Administratoren oder eine gleichwertige Mitgliedschaft.
So zeigen Sie Ereignisse mithilfe der Ereignisanzeige im AppLocker-Protokoll an
Öffnen Sie die Ereignisanzeige. Klicken Sie dafür auf Start, geben Sie eventvwr.msc ein, und drücken Sie dann die EINGABETASTE.
Doppelklicken Sie in der Konsolenstruktur unter Anwendungs- und Dienstprotokolle\Microsoft\Windows auf AppLocker.
AppLocker-Ereignisse werden im Protokoll EXE and DLL, MSI and Script, Packaged app-Deployment oder Packaged app-Execution aufgeführt. In den Ereignisinformationen sind die Erzwingungseinstellung, der Dateiname, das Datum und die Uhrzeit sowie der Benutzername enthalten. Die Protokolle können für die weitergehende Analyse in andere Dateiformate exportiert werden.